Почти совершенный шелл на WordPress

Последний раз встретил шелл на забугорном хостинге сайтов на Вордпрессе. Мне он "понравился" трудностью детектирования. Привожу сам код

Что он делает в общем то понятно. Очередная реализация preg_replace('/.*/e',…) . Визуально не очень то и понятно за что зацепиться при поиске. Тем не менее, "есть способы в русских селеньях". Как и в реализации через $GLOBALS у этого кода избыточное количество скобок, конкатенций и переменных. Я его детектирую как раз по количеству повторений "].$" . В нормальном коде редко подобное повторяется от 20 раз. Код небольшой, от 2 до 5 кБ размером. Обфускация чаще всего постоянная(возможно пока), т.е. на сайте обычно 2-3 варианта этого кода. Файлы называются meta*.php, api.php, load.php, locale.php, global.php.
Пока видел только на WordPress сайтах, но стоит ожидать и на других.
Айболит и прочие подобные утилиты пока не детектируют, поскольку сигнатурный метод тут не подходит. Мой fscure детектирует, но в спец. режиме.

You may also like...